Discussion :

[stoyak]

Salut à tous,
Voilà, j'aurais besoin de votre aide et surtout conseil.
En fait, j'ai plusieurs serveurs et pc au boulot que j'administre aujourd'hui et je suis debutant.
Mon prédécesseur dispose toujours du pass root. Suite à qq soucis pendant mes vacances, on me demande de faire le nécessaire pour éviter d'être espionné ou que ce dernier n'accede aux serveurs de l'exterieur.
Alors, voici quelques questions :
1) Comment faire pour savoir tout ce qui s'est déroulé sur les serveurs linux en mon absence (commandes, ftp, ssh, effacement de repertoire ou fichier, creation de scripts d'espion, etc)?
2) Je suppose que la commande history n'est pas suffisante, non?
3) Comment savoir si mes serveurs sont accessibles de l'exterieur? si c'est le cas, comment empecher cela?
4) Est ce que changer le mot de pass root de tous les serveurs et nécessaire et/ou suffisant, sachant qu'il y a des partages avec des machines windows?
5) Bref que faire?

Merci de votre aide

[Katyucha]

Salut à tous,
Voilà, j'aurais besoin de votre aide et surtout conseil.
En fait, j'ai plusieurs serveurs et pc au boulot que j'administre aujourd'hui et je suis debutant.
Mon prédécesseur dispose toujours du pass root. Suite à qq soucis pendant mes vacances, on me demande de faire le nécessaire pour éviter d'être espionné ou que ce dernier n'accede aux serveurs de l'exterieur.
Alors, voici quelques questions :
1) Comment faire pour savoir tout ce qui s'est déroulé sur les serveurs linux en mon absence (commandes, ftp, ssh, effacement de repertoire ou fichier, creation de scripts d'espion, etc)?
2) Je suppose que la commande history n'est pas suffisante, non?
3) Comment savoir si mes serveurs sont accessibles de l'exterieur? si c'est le cas, comment empecher cela?
4) Est ce que changer le mot de pass root de tous les serveurs et nécessaire et/ou suffisant, sachant qu'il y a des partages avec des machines windows?
5) Bref que faire?

Merci de votre aide

Bonjour,
Quand un administrateur quitte son emploi, on doit ABSOLUMENT changer les mots de passe, et SURTOUT le root !! C'est le minimum de sécurité!
1) Il faut regarder les divers logs, déjà , il faut surtout que tu saches : comment on y accede?
telnet est il lancé?
ssh ?
ftp ?
rsh ?

A toi de faire un petit audit, tu dois pendre en main la machine. Donc en premier lieu :
Qu'est ce qui tourne?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ps -ef

Ensuite, regarde le fichier /etc/inetd.conf : quels services gèrent ils?
Regarde quels services sont lancés au boot dans le /etc/rcX.d (X = ton niveau de boot)

2) bien vu
3) connais ton serveur, apprend ce qui tourne dessus
4) Ne me dis pas que les partages windows utilisent le mot de passe root pour accéder aux ressources samba .... il faut absolument changer ca !!
5)
- Changement du mots de passe root
- Changement du mot de passe de tout les comptes qui a pu etre créé : /etc/passwd. Analyse des groupes (un petit utilisateur sous le groupe root, ca peut faire mal)
- Vérifier la conf sudo : more /etc/sudoers
- Apprendre ton serveur, quels sont les services présents?
- Voir cette histoire de partage windows, il serai hallucinant que les partages samba se fassent sur le compte root avec le mot de passe root.

[stoyak]

merci pour tes eclaircissements.
ssh est present sur tous mes serveurs. Ftp pas sur tous
pour root et samba, au fait, afin d'introduire une machine windows dans le domaine, j'ai dû me connecter en admin sur le PC windows, changer le domaine et donné le mot de pass root pour autoriser son introduction, c'est tout
Les autres manip n'ont pas fait appel à root.